Версия для печати
Пятница, 04 июня 2010 05:08

О механизмах защиты беспроводных сетей

Оцените материал
(0 голосов)

wi-fi-04062010Беспроводная сеть - сеть в которой есть хотя бы один сегмент, соединяющий два и более беспроводных устройства по радиоканалу стандарта 802.11. Топологически такие сети можно разделить на два вида: с точкой доступа (через сервер с радиоустройством, одновременно подключенный к радиосети), ad hoc (клиенты взаимодействуют напрямую без точки доступа). Рассмотрим беспроводную сеть с точкой доступа, реализованная по любому коммерческому стандарту 802.11 (a, b, g, i), кроме 802.1х. Вне зависимости от количества точек доступа беспроводной сетевой сегмент идентифицируется единственным идентификатором (SSID).Существуют три встроенных механизма безопасности для защиты беспроводных сетей: проверка подлинности, шифрование, WPA.

 

Подлинность проверяется двумя механизмами: открытой проверкой (на точке доступа задаются ограничения MAC-адресов беспроводных сетевых устройств), закрытым ключом (пользователям беспроводной сети сообщается пароль, который они вводят вручную при установке соединения).

Шифрование в беспроводных сетях осуществляется по алгоритму RC4. Шифрование поддерживает два вида ключей: глобальный и сеансовый. Глобальный ключ применяется для защиты группового и широковещательного исходящего трафика точки доступа, а сеансовый ключ – для одноадресного исходящего трафика точки доступа, а также группового и широковещательного входящего трафика точки доступа. Оба типа ключей распространяются между клиентами сети и вводятся вручную.

WPA обеспечивает улучшенное шифрование по протоколу TKIP, который контролирует и целостность данных. Проверка подлинности проверяется протоколом IAP.

Через беспроводные сети могут осуществляться следующие виды атак:

перехват трафика,взлом адресов протокола ARP,атаки вирусов, попавших в сеть с компьютера взломщика,перенаправления (в данном случае осуществляется взлом на уровне SSL. Взломщик подделывает MAC-адрес точки доступа и направляет пользователю запрос на прием удостоверений нового сервера, подконтрольного ему.),несанкционированные подключения (к любой беспроводной сети можно подключить, приблизившись на достаточное расстояние. При использовании открытой системы идентификации любой может получить доступ к корпоративной сети.),подключение несанкционированных точек доступа (пользователи могут сами установить необходимое оборудование, не включив на нем защитных механизмов), перегрузка сети (атака типа DoS),радиопомехи.

Чтобы усилить защиту беспроводной сети следует: изменить заводской SSID,отключить широковещательную рассылку SSID,необходимо использовать шифрование с уникальными ключами,защитить протокол SSNP (изменить сообщество для этого протокола, заданное по умолчанию, продумать защиту от PROTOS),использовать фильтрацию MAC-адресов, установив в списке допустимых беспроводных клиентов,совместно со службой безопасности предприятия нужно бороться с установкой несанкционированных точек доступа (необходимо проверять какое оборудование вносят на предприятие и обнаруживать точки доступа с помощью SSNP-агентов.

Безусловно необходимо уделить внимание выбору и установке антенн у точек доступа. По возможности нужно использовать антенны направленного действия или передатчики с малым радиусом действия, чтобы не расширять территориальных границ беспроводной сети. Целесообразно считать точку доступа частью демилитаризованной зоны или сети, не пользующейся доверием. Поэтому рекомендуется отделять точки доступа от проводных сетей брандмауэром.

Качественным скачком в безопасности беспроводных сетей является стандарт 802.1х. Он позволяет использовать максимально безопасную проверку подлинности беспроводных клиентов и осуществлять безопасную шифрованную передачу данных. В этом стандарте для шифрования используются динамические ключи, которые не нужно устанавливать вручную. Однако для внедрения данного стандарта необходимо три вещи:

для аутентификации клиентов беспроводной сети необходимо настраивать RADIUS-сервер со специальной политикой удаленного доступа для беспроводных сетей;в организации должна быть внедрена система Открытых ключей, т.к. для проверки подлинности стандарт 802.1х использует протокол EAP-TLS;точку доступа можно организовать только под WS2003, а беспроводные клиенты должны управляться Windows XP SP1 или выше.

Таким образом, внедрение RADIUS-сервера может потребовать коренного изменения топологии корпоративной сети. Внедрение системы Открытых ключей потребует либо развертывание собственной иерархии центров сертификации, или приобретение сертификатов у сторонних фирм. Внедрение стандарта 802.1х обеспечивает максимальный уровень защиты беспроводной сети, но требует большой административной настройки и финансовых затрат.

Прочитано 6178 раз Последнее изменение Среда, 07 января 2015 16:15